企業(yè)必須基于所處理數(shù)據(jù)的類型和敏感度確定最適合自己的訪問控制模型。老式訪問模型包括自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)。DAC模型下，數(shù)據(jù)擁有者確定訪問權(quán)限。DAC是根據(jù)用戶指定的規(guī)則來分配訪問權(quán)限的一種方式。

MAC采用非自主模式開發(fā)，根據(jù)信息許可授予用戶訪問權(quán)。MAC是基于中心權(quán)威機(jī)構(gòu)的規(guī)則來分配訪問權(quán)限的一種策略。

如今，基于角色的訪問控制(RBAC)是最常用的訪問控制模型。RBAC根據(jù)用戶的角色分配訪問權(quán)限并實(shí)現(xiàn)關(guān)鍵安全原則，比如“最小權(quán)限原則”和“權(quán)限分離原則”。因此，試圖訪問信息的用戶便只能訪問執(zhí)行自身角色職能所必須的那部分?jǐn)?shù)據(jù)。

最新的模型名為基于屬性的訪問控制(ABAC)，每個(gè)資源和用戶都賦予一系列屬性，幾乎對用戶屬性的比較評(píng)估，比如時(shí)間、職務(wù)和位置，來確定該用戶是否能訪問某個(gè)資源。

公司企業(yè)必須根據(jù)數(shù)據(jù)敏感性和運(yùn)營需求來確定哪種模型是最適合自身的。尤其是處理個(gè)人可識(shí)別信息(PII)或其他敏感信息類型的公司企業(yè)，比如涉及《健康保險(xiǎn)流通與責(zé)任法案》(HIPPA)和受控非密信息(CUI)數(shù)據(jù)的公司企業(yè)，必須將訪問控制設(shè)置為公司安全架構(gòu)的核心功能。

3. 可能需要多套訪問控制解決方案

有多種技術(shù)可以支持各種訪問控制模型。某些情形下，可能需要多種技術(shù)協(xié)同工作以達(dá)到所需的訪問控制級(jí)別。如今數(shù)據(jù)廣泛分布于云服務(wù)和SaaS應(yīng)用且接入傳統(tǒng)網(wǎng)絡(luò)邊界的事實(shí)，決定了必須編配一個(gè)協(xié)同的安全解決方案。有多家廠商提供可集成進(jìn)傳統(tǒng)活動(dòng)目錄(AD)的特權(quán)訪問及身份管理解決方案。多因子身份驗(yàn)證也可以作為進(jìn)一步強(qiáng)化安全的一個(gè)組件。

4. 授權(quán)依然是某些企業(yè)的阿基里斯之踵

如今，大多數(shù)企業(yè)都已善于使用身份驗(yàn)證，且越來越多地采用多因子身份認(rèn)證和基于生物特征識(shí)別的認(rèn)證技術(shù)(比如人臉識(shí)別或虹膜識(shí)別)。最近幾年，隨著大型數(shù)據(jù)泄露導(dǎo)致被盜口令憑證在暗網(wǎng)售賣，安全人員已更加重視對多因子身份認(rèn)證的需求。

授權(quán)則依然是安全人員經(jīng)常出錯(cuò)的一個(gè)領(lǐng)域。比如說，確定并持續(xù)監(jiān)視哪些數(shù)據(jù)資源被何人在何種條件下以何種方式訪問，就是安全人員的一大挑戰(zhàn)。但不一致或強(qiáng)度較弱的授權(quán)協(xié)議，卻可能產(chǎn)生必須盡快修復(fù)的安全漏洞。

說到監(jiān)視，無論公司選擇以何種方式實(shí)現(xiàn)訪問控制，都必須持續(xù)監(jiān)視以發(fā)現(xiàn)潛在安全漏洞，即是為了合規(guī)，也是為了運(yùn)營。企業(yè)必須定期進(jìn)行監(jiān)管審查、風(fēng)險(xiǎn)評(píng)估和合規(guī)審查，并要對執(zhí)行訪問控制功能的應(yīng)用程序反復(fù)進(jìn)行漏洞掃描，還應(yīng)該收集并監(jiān)控每次訪問的日志以驗(yàn)證策略有效性。

5. 訪問控制策略應(yīng)可動(dòng)態(tài)修改

過去，訪問控制方法通常是靜態(tài)的。而如今，網(wǎng)絡(luò)訪問必須是動(dòng)態(tài)的，要支持基于身份和應(yīng)用的用例。

高級(jí)訪問控制策略可動(dòng)態(tài)適應(yīng)不斷發(fā)展的風(fēng)險(xiǎn)因素，讓被入侵的公司可以隔離相關(guān)雇員和數(shù)據(jù)資源以最小化對公司的傷害。

公司企業(yè)必須確保自己的訪問控制技術(shù)受到云資產(chǎn)和應(yīng)用的支持，可以平滑遷移到私有云之類虛擬環(huán)境。訪問控制規(guī)則必須基于風(fēng)險(xiǎn)因素而變，也就是說，企業(yè)必須在現(xiàn)有網(wǎng)絡(luò)和安全配置的基礎(chǔ)上用AI和機(jī)器學(xué)習(xí)技術(shù)來部署安全分析層，還需要實(shí)時(shí)識(shí)別威脅并自動(dòng)化訪問控制規(guī)則。

五、訪問控制的底線

在今天的復(fù)雜IT環(huán)境中，應(yīng)將訪問控制看做是采用最先進(jìn)的工具、反映工作環(huán)境中的改變、識(shí)別所用設(shè)備的改變及其帶來的風(fēng)險(xiǎn)，并考慮到向云端的遷移的動(dòng)態(tài)技術(shù)基礎(chǔ)設(shè)施。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文